Kaseya Mengesampingkan Serangan Rantai Pasokan; Mengatakan VSA 0-Day Hit Pelanggannya Langsung

  • Whatsapp
Kaseya

Perusahaan teknologi AS Kaseya, yang memerangi serangan ransomware rantai pasokan terbesar yang pernah ada pada produk lokal VSA-nya, mengesampingkan kemungkinan bahwa basis kodenya dirusak secara tidak sah untuk mendistribusikan malware.

Sementara laporan awal menimbulkan spekulasi bahwa geng ransomware mungkin telah memperoleh akses ke infrastruktur backend Kaseya dan menyalahgunakannya untuk menyebarkan pembaruan berbahaya ke server VSA yang berjalan di tempat klien, dalam modus operandi yang mirip dengan peretasan SolarWinds yang menghancurkan, sejak itu muncul bahwa kerentanan keamanan yang belum pernah terlihat sebelumnya (CVE-2021-30116) dalam perangkat lunak dimanfaatkan untuk mendorong ransomware ke pelanggan Kaseya.

Bacaan Lainnya

Tim Stack Overflow

“Para penyerang dapat mengeksploitasi kerentanan zero-day dalam produk VSA untuk melewati otentikasi dan menjalankan eksekusi perintah sewenang-wenang,” perusahaan yang bermarkas di Miami itu. dicatat dalam analisis kejadian. “Ini memungkinkan penyerang untuk memanfaatkan fungsionalitas produk VSA standar untuk menyebarkan ransomware ke titik akhir. Tidak ada bukti bahwa basis kode VSA Kaseya telah dimodifikasi dengan jahat.”

Dengan kata lain, sementara eksploitasi zero-day yang berhasil pada perangkat lunak Kaseya VSA dengan sendirinya bukanlah serangan rantai pasokan, mengambil keuntungan dari eksploitasi untuk mengkompromikan penyedia layanan terkelola (MSP) dan melanggar pelanggan mereka akan dianggap sebagai satu kesatuan.

Namun, tidak jelas bagaimana peretas mengetahui kerentanannya. Rincian kekurangan itu belum dirilis ke publik.

Sekitar 60 MSP dan 1.500 bisnis hilir di seluruh dunia telah dilumpuhkan oleh serangan ransomware, menurut CEO perusahaan Fred Voccola, yang sebagian besar merupakan masalah kecil, seperti praktik gigi, firma arsitektur, pusat operasi plastik, dan perpustakaan.

Peretas yang terkait dengan grup REvil ransomware-as-a-service (RaaS) yang terkait dengan Rusia pada awalnya menuntut $70 juta dalam Bitcoin untuk merilis alat dekripsi untuk memulihkan semua data bisnis yang terpengaruh, meskipun mereka telah dengan cepat menurunkan harga yang diminta menjadi $ 50 juta, menunjukkan kesediaan untuk menegosiasikan tuntutan mereka dengan imbalan jumlah yang lebih rendah.

“REvil ransomware telah diiklankan di forum bawah tanah selama tiga tahun dan ini adalah salah satu operasi RaaS paling produktif,” peneliti Kaspersky berkata Senin, menambahkan “geng memperoleh lebih dari $ 100 juta dari operasinya pada tahun 2020.”

Mencegah Serangan Ransomware

Rantai serangan bekerja dengan terlebih dahulu menyebarkan penetes berbahaya melalui skrip PowerShell yang dieksekusi melalui perangkat lunak VSA Kaseya.

“Skrip ini menonaktifkan fitur perlindungan Microsoft Defender untuk Endpoint dan kemudian menggunakan utilitas certutil.exe untuk memecahkan kode executable berbahaya (agent.exe) yang menjatuhkan biner Microsoft yang sah (MsMpEng.exe, versi Microsoft Defender yang lebih lama) dan perpustakaan berbahaya ( mpsvc.dll), yang merupakan ransomware REvil. Pustaka ini kemudian dimuat oleh MsMpEng.exe yang sah dengan memanfaatkan Teknik pemuatan samping DLL,” tambah para peneliti.

Insiden tersebut juga membuat Badan Keamanan Siber dan Infrastruktur (CISA) AS menawarkan panduan mitigasi, mendesak bisnis untuk mengaktifkan otentikasi multi-faktor, membatasi komunikasi dengan kemampuan pemantauan dan manajemen jarak jauh (RMM) ke pasangan alamat IP yang diketahui, dan menempatkan antarmuka administratif RMM di belakang jaringan pribadi virtual (VPN) atau firewall pada jaringan administratif khusus.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *